Apache RocketMQ < 5.3.0 資訊洩漏 (CVE-2024-23321)
high Nessus Plugin ID 205388
語系:
概要
遠端 Web 伺服器上執行的 Web 應用程式受到敏感資訊洩漏給未經授權的行為者之弱點的影響。說明
針對 RocketMQ 5.2.0 和更舊版本,在某些情況下,即使 RocketMQ 已啟用驗證和授權功能,仍存在敏感資訊洩漏給未經授權執行者的風險。擁有一般使用者權限或列在 IP 白名單中的攻擊者可能會透過特定介面取得系統管理員的帳戶和密碼。此類動作可授予他們對 RocketMQ 的完整控制權,前提是他們可以存取代理人 IP 位址清單。為減輕這些安全性威脅,強烈建議使用者升級至 5.3.0 版或更新版本。此外,我們建議使用者在升級至 Apache RocketMQ 5.3.0 版時,使用 RocketMQ ACL 2.0 而非原來的 RocketMQ ACL。請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 Apache RocketMQ 5.3.0 或更新版本另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 205388
檔案名稱: apache_rocketmq_5_3_0.nasl
版本: 1.2
類型: remote
系列: Web Servers
已發布: 2024/8/12
已更新: 2024/8/13
支援的感應器: Nessus
風險資訊
VPR
風險因素: High
分數: 7.4
CVSS v2
風險因素: High
基本分數: 7.1
時間分數: 5.3
媒介: CVSS2#AV:N/AC:H/Au:S/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2024-23321
CVSS v3
風險因素: High
基本分數: 7.5
時間分數: 6.5
媒介: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:apache:rocketmq
必要的 KB 項目: installed_sw/Apache RocketMQ
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2024/7/22
弱點發布日期: 2024/7/22
參考資訊
CVE: CVE-2024-23321